网址:http://haoning666.tpddns.cn:8888 目前用的就是锁定用户名,但是存在一个问题,当一个用户名连续5次错误却没有被封禁的话,则代表该用户名不存在,而如果要对不存在的用户名也进行封禁,就需要额外进行储存增加存储成本,想问一下大家有没有别的手段 目前不打算做2FA,因为要在新设备登录时,旧设备大概率不在身边,如果旧设备在身边的话可以直接使用扫码传递登录。 另外我也是有做验证码的,只不过现在被我关了,正在进一步完善验证码,让验证码变得更容易一点,目前在用的拼图验证码太麻烦了。 目前有在做多次密码错误后首次密码正确也提示密码错误,而且在有验证码的情况下,如果验证码三次不通过(无论是拼图没拼到位,还是滑动轨迹异常),连续三次不通过则在会话中标记robot,然后放行,但是接下来的登录环节不进行密码判断,通通一律返回密码错误。 我写的网站每注册一个用户时,在数据库LoginFailed表中同时会创建一条数据,记录该用户对应的登录失败次数(FailuresQuantity)和解锁时间(UnlockTime)。 在登录时先检查当前时间是否大于解锁时间(UnlockTime......